5第5章 防火墙技术基础.pptVIP

本章目标 掌握防火墙的分类 掌握包过滤防火墙的工作原理及其优缺点 掌握代理服务器的工作原理及其优缺点 了解防火墙的概念及其功能 了解防火墙上可以应用的其他技术 5.1 防火墙基础技术 对黒客来说，只要有一点系统漏洞就足够了 保护网络安全的第一个建议就是安装防火墙 5.1.1 什么是防火墙 防火墙定义 隔离在本地网络与外界网络之间的一道防御系统 隔离风险区域与安全区域的连接 不会妨碍人们对风险区域的访问 设置防火墙简化网络的安全管理 5.1.1 什么是防火墙(续) —— 防火墙示意图 5.1.1 什么是防火墙(续) —— 防火墙实现方式 路由器 主机 子网 5.1.2 防火墙的功能 防火墙是企业网络中实施安全保护的核心 防火墙能够拒绝进出网络的数据流量 5.1.2 防火墙的功能(续) 防火墙的主要功能有： 过滤不安全的服务和非法用户 控制对特殊站点的访问 提供监视Internet安全访问和预警的可靠节点 实现公司的安全策略 防止暴露内部网的结构（部署NAT） 审计和记录Internet使用费用 在物理上设置一个单独的网段，放置服务器 5.1.3 防火墙的缺陷 防火墙防范功能不完备 防火墙的缺陷： 防火墙不能防范不经过防火墙的攻击 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 防火墙需要其他的安全策略配合 5.1.4 防火墙的分类 按照防火墙对内外来往数据的处理方法分类 包过滤防火墙 以色列的Checkpoint防火墙 Cisco公司的PIX防火墙 代理防火墙（应用层网关防火墙） 美国NAI公司的Gauntlet防火墙 5.2 包过滤技术 5.2.1 包过滤的原理 5.2.2 包过滤技术的优点 5.2.3 包过滤技术的缺点 5.2.1 包过滤的原理 第一代包过滤称为静态包过滤 根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配 过滤规则是根据数据包的报头信息进行定义的 报头信息中包括IP源地址、目标地址、传输协议、TCP/UDP目标端口、ICMP消息类型 “没有明确允许的都被禁止” 5.2.1 包过滤的原理(续) —— IP地址过滤 5.2.1 包过滤的原理(续) —— 防火墙阻止IP流 5.2.1 包过滤的原理(续) —— 防火墙阻止IP流(续) 防火墙可以把所有发给UNIX计算机的数据包都给过滤掉 防火墙可以根据IP地址判断是否过滤数据包 IP地址欺骗技术可以破坏上面的防范措施 采用TCP/UDP端口过滤技术 IP地址和目标服务器TCP/UDP端口结合起来 5.2.1 包过滤的原理(续) —— 服务器端TCP/UDP端口过滤 5.2.1 包过滤的原理(续) —— 服务器端TCP/UDP端口过滤(续) TCP/IP客户程序使用大于1023的随机分配的端口号 打开所有高于1023的端口不安全（radius服务) 可以要求防火墙放行已知服务的数据包，其他的全部挡在防火墙之外 5.2.1 包过滤的原理(续) —— TCP/UDP端口 5.2.1 包过滤的原理(续) —— TCP/UDP端口(续) 用户无法知道要访问的服务器正在运行的端口号 源地址不能相信，目标端口也不可信任 对于TCP协议，利用ACK位 5.2.1 包过滤的原理(续) —— 使用ACK位 5.2.1 包过滤的原理(续) ——动态包过滤技术 使用ACK位无法解决一些问题 FTP协议 UDP协议 使用动态包过滤技术 动态设置包过滤规则 发展成为状态检测（Stateful Inspection）技术 仍然存在问题，可以使用代理服务器 5.2.2 包过滤技术的优点 优越的通信性能 仅在第三层进行数据包的过滤，可以通过硬件实现 对用户来说是完全透明 可以通过普通的路由器实现，节省投资 5.2.3 包过滤技术的缺点 包过滤技术的缺陷主要为： 包过滤准则非常复杂，在实现上非常困难，对包过滤准则难以进行检验 包过滤技术对于高层的协议无法实现有效的过滤 包过滤技术只能够实现基于主机和端口的过滤，无法实现针对用户和应用程序的过滤 当网络安全的方案十分复杂时，不能用数据包过滤技术来单独解决 5.3 代理技术 代表企业内部网络和外界打交道的服务器 不允许存在任何网络内外的直接连接 提供公共和专用的DNS、邮件服务器等多种功能 代理服务器重写数据包时会修改一些数据 5.3.1 代理技术的工作层次 代理服务技术工作于OSI模型的应用层 代理服务技术支持对高层协议的过滤 代理服务中可以做到基于用户的认证 也叫应用层网关（Application Gateway）防火墙 代理技术可以隐藏内部网结构 5.3.1 代理技术的工作层次(续) —— 传统代理型防火墙 5.3.1